Q Qualys. 


InformixDB 認証 (PC、SCA) 


認証 スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認 証 を 設定 し て 使用 する と 、 ホス ト を さら に 詳し く 評 人 
し 、 最も 正確 な 結果 を 取得 し 、 誤 検出 を 減ら すこ と が で きま す 。 本 書 で は 、 コン プラ イア ンス スキ ャ ン に お ける 
InformixDB 認証 の 設定 に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 事項 


サポ ー ト され る テク ノロ ジ 
InformixDB 11.x、12.x 


サポ ー ト され る 接続 

“ TCP を 使用 する DRDA ” と “ SSL/TLS を 使用 する DRDA "を 含む DRDA 接続 が サポ ー ト され て いま す 。 接続 
文字 列 は 、“ drsoctcp "、“ drtlitcp ”、“ drsocssl ”、“ drtliss1 "で す 。 “ on "で 始ま る 接続 文字 列 は サポ ー ト され て い 
ませ ん 。 


必要 な デー タベース 情報 


認証 する デー タベース 名 、 デー タベース サー バ の 一 意 の 名 前 、 デ ー タ ベー ス を 実行 し て いる DRDA 通信 に 使用 
され る ポー ト が 必要 で す 。 カス タマ イズ 可能 な デフ ォ ル ト 設 定 が 用 意 さ れ て いま す 。 


認証 を 使用 する 理由 

認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に さら に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で あり 、 脆弱 性 スキ ャ ン で も 推奨 
され て いま す 。 


資格 情報 の 安全 性 に つい て 

資格 情報 は 、 読み 取り 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 
行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対 象 の ホス ト 上 で 認証 済み の スキ ャ ン 用 の IBM Imformix ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、 
Qualys Policy Compliance を 使用 し て 次 の 手順 を 実行 し ます 。 1) Informix 認証 レコ ー ド を 追加 し て 、 資 格 情報 と ホ 
スト (TP) を 関連 付け ます 。 2) で コン プラ イア ンス スキ ャ ン を 開始 し ます 。 3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 済 み の 
各 ホ スト の 認証 ステ ー タ ス (「Passed」 また は 「Failed」) を 表示 し ます 。 
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InformixDB 資格 情報 


スキ ャ ン を 実行 する 前 に 存在 し て いる 必要 が ある アカ ウン ト と 権限 を 設定 する た め に 、 以下 の スク リプ ト の セッ ト が 用 
意 さ れ て いま す 。 注記 - これ ら の スク リプ ト で は 、 createUser と grantRole に 対す る 権限 を 持つ スー パー ユー ザ ア カ 
ウン ト が 必要 に な り ま す 。 例え ば 、qualys_ scan また は dbOwner ロー ル を 持つ アカ ウン ト で す 。 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 正常 に 実行 する た め 、 ロ ー ル と スキ ャ ン ア カウ ント は 管理 
デー タベース で 作成 する 必要 が あり ます 。 


1) ユー ザ ア カ ウ ント を 作成 する 


IDS バー ジョ ン 11.70 より 前 -- mformix で は OS 固有 の ロー カル ユー ザ ア カ ウ ント が 使用 され ます 。 デー タ 環 境 を 
スキ ャ ン す る た め に 、QUALYSSC と いう 名 前 の ユー ザ ア カ ウ ント を 作成 する こと を お 勧め し ます 。 注記 - 管理 者 は 
次 の パー ミッ ショ ン を 追加 する 必要 が あり ます 。 


Du 


database [name of database]: 
grant connect to qualyssc: 


IDS バー ジョ ン 11.70 以降 -- OS ロー カル ユー ザ ア カ ウ ント また は マッ プ さ れ た ユー ザ は 、 デ ー タ ベー ス サ ー バ 外 
部 の 認証 レイ ヤ で 検証 され た パス ワー ド を 入力 し た 後に 、 デ ー タ ベー ス に 接続 で きま す 。 次 の IBM の 文書 に 示さ 
れ て いる 手順 に 従う こと が で きま す 。 

CREATE USER 文 | 非 O0S8 ユー ザ の ユー ザマ ッ ピ ング を 設定 する 方 法 


ロー カル ユー ザ “ dbuser "が OS レベ ル で 作成 され て いる 場合 は 、 次 の 手順 で 簡略 化 で きま す 。 


database [name of database]: 

CREATE DEFAULT USER WITH PROPERTIES USER "dbuser"; 
CREATE USER qualys scan WITH PASSWORD "[password]”; 
grant connect to qualys scan: 


/etc/informix 内 の ファ イル allow.surrogates が 結果 的 に ロー カル ユー ザ 情 報 で 更新 され て いる こと も 確認 し ます 。 


2) スキ ャ ン ア カウ ント の 権限 を 確認 する 


qualys scan アカ ウン ト が 、 コ ンプ ライ アン スス キャ ン を 正常 に 実行 する た め の デ ー タ ベー ス 内 の 権限 を すべ て 持っ 
て いる こと を 確認 し ます 。 これ ら の 権限 は デフ ォ ル ト で パブ リッ クア カウ ント に 付与 され る た め 、 ス クリ プ ト ト で は 、 ス キャ 
ン ア カウ ント が これ ら の デー ブル へ の アク セス に 必要 な 権限 を 持っ て いる か どう か を 確認 し ます 。“ qualys_scan " ア 
カウ ント を 使用 し て イン スタ ンス に ログ イン し 、 こ の アカ ウン ト が アク セス が 可能 か どう か を 確認 する スク リプ ト を 実行 し 
ます 。 スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント で 不足 し て いる 権限 の 特定 に 利用 で きる スク リプ ト を zip アー カイ ブ 内 
こ 用 意 し て いま す 。 これ ら の スク リプ ト は 、 QG InformixDB Auth verx.x.txt ファ イル 内 に あり ます 。 適切 な 権限 が 
正しく 設定 され て いる か どう か を 判断 する た め に 、 ス ー パ ー ユ ー ザ が 、 デ ー タ ベー ス に 接続 する こと で スク リプ ト を 
実行 し ます 。 この スク リプ ト に より 、 すべ て の 必須 項目 の 状態 を 表示 する 出力 が 生成 され ます 。 


予想 され る 出力 の 例 : 

必須 項目 状態 

CURRENT USER qualys scan 

SYSROLEAUTH PASSED - SELECT privilege exists 

SYSTABAUTH PASSED - SELECT privilege exists 

SYSTABLES PASSED - SELECT privilege exists 

SYSUSERS PASSED - SELECT privilege exists 

VERSION IBM Informix Dynamic Server Version 11.70.FCSDE 
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異な る 結果 が 出 た 場合 は 、mformixDB DBA に 連絡 し て 、 権限 が 正しく 設定 され て いる こと を 確認 し て くだ さい 。 


InformixDB 認証 レコ ー ド 


スキ ャ ン 対 象 の 各 InformixDB イン スタ ュー 
ンス に 対し て 個別 の 認証 レコ ー ド を 作 ‘= ScanS Scans Maps Schedules Appliances 
成す る 必要 が あり ます 。 スキ ャ ン の 際 、 EE 
アカ ウン ト の すべ て の mformixDB 認 i 
レコ ー ド を 使用 し て 、1 つの ホス ト で 1 つ ーー 
の . ツ | 
また は 複数 の InformixDB イン スタ ンス 
が 認証 され ます 。 注記 - Unix 認証 も 必 | 同 Newew 1 Pemtngsystems- し | Tide 
要 で ある た め 、 デ ー タ ベー ス を 実行 し て | Netyork and Security... yp 
し ヽ る ホス ト の Unix レコ ー ド も 必要 に な り Agent Test Applications… 3 10.115.76.151-10.115.76.152 
ます 。 Global Default Databases.… ル IBM DB2 5.76.152 
VMware... 12 InformixDB 
"| Global Default 
レコ ー ド を 作成 する 場所 System Record Templates. p MariaDB 
| Global Default MongoDB 
「Scans] > 「Authentication 」] > 「New」 Authentication Vaults a 
「Databases」 つ 「InformixDB Record」 に ci Download... 
a MySQL 
移動 し ます 。 Agent Test Un 区 | 5 
Oracle 
Global Default Network Unix Oracle Listener 
Global Default Network Oracle Pivotal Greenplum 
PostgreSQL 
Global Default Network Oracle 
Sybase 
Global Default Network Oracle Test Oracle Basic 


ログ イン 資格 情報 


昌 FRecord Title Authentication 

・ ウマ 人 き 刃 ミ を ーーーーーーーーーーーーー 一 ーー 
InformixDB サ “へ の 包 応 証 を 受 け Provide login credentials to use for authenticated scanning 
る た め 、 資 格 情報 (ユー ザ 名 、 パ 


Authentication Type: Basic トイ 
さ Target Configuration 
スワ ー ド ) を 入力 し て くだ さい 。 
_ Usemame* qualys_scan 

Unix Configuration 
Password*: ゃ eeeeeeeee 

IPs 
Confirm Password* ゃ eooeeeee の 


Comments 


cancel EE 
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必要 な デー タベース 情報 
認証 する デー タベース 名 、 サ ー バ 


New InformixDB Record Launch Help 


さ N — Reactte Target Configuration 
ー デ さ ミニ テテ ノー rg gura 
名 と 、 デー タベース が 実行 され て 
o bs ys に Login Credentials Tell us the user account to use for authentication. the database instance you want to authenticate to. and the 
いる ポー ト を 指定 し ます (また は 、 port where the database is Installed 


I 60 こつ 
ポー ト を 使用 し ます ) 。 Unix Configuration Example: gg 


IPs Server Name: demo_on 
Comments 
Por* 1526 
SSL Verify: Select this option to verify that the server's SSL certificate is valid and 
trusted 


ce TD 


SSL の 必要 性 


日 ーー が まっ ーー Record Title Target Configuration 
SSL を 使用 する と 、 デー タベース ニー ュー 
エー ュー や Login Credentials Tell us the user account to use for authentication, the database instance you want to authenticate to, and the port where the database 
に 安全 に 接続 で きま す ー タ js nstalled 
ー ーー ML o ノ 


re SL し a 


いる 場合 、「SSL Verify」 を 選択 す 
れ ば 、SSL で 保護 され た リン ク を リ | csm ee 
クエ スト する こと に な り ま す 。 サー po Em 
バ の SSL 証明 書 の 検証 も 実施 さ aa 
れ ま す 。 デフ ォ ル ト で は 、 こ の オプ 
ショ ン は 「NO」 に 設定 され て いま 
す 。 


Unix Configuration 


jPs Server Name demo_on 


Cancel Create 


InformixDB 構成 ファ イル 


必須 で は あり ませ ん が 、 重要 な の 


全 刃 きき さ ・ Record Titl 
は 、 認証 レ コー ド 内 の InformixDB CO Unix Configuration _- 
・ ・ | i Enter the full path to the Inf DB fi tion fil Unix hosts. The fil t be In th 
の 「 Configuration File」、「On | oam credenta's location tor al nosts (Ps) in tnis recora. if airerent. create anoinerrecord. 
Configuration File 中 に お ボ び 「 Sql Target Configuration Configuration File: opt/Informix/ 


Hosts Configuration File」 の 場所 を 本 
入力 する ご と で す 。 IPs On Configuration File /opUInformix/etc/onconfig.demo 


Comments 


Configuration File - この ファ イル Sql Hosts Configuration File Topt/Informix/etc/sqlhosts.demo 
は 、 特定 の チェ ッ ク で 必要 に な り ま 
す 。 Unix の 場合 、 こ の ファ イル に 
よっ て 、 探し て いる 情報 を 入力 す 
る うえ で 必要 な 情報 の 収集 に 役 立 Cancel 
ち ま す 。 
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On Configuration File - この ファ イレ に は 、 デ フォ ルト の 構成 パラ メー タ 値 が 格納 され て いま す 。 パラ メー タ 値 を 修正 
し て 、 イ ンス タン ス や デー タベース の パフ ォ ー マ ンス お よび その 他 の 特徴 を 向上 させ る こと が で きま す 。 


Sql Hosts Configuration File - sqlhosts ファ イレ また は SQLHOSTS レジ スト リキ ーー 内 の フィ ー ル ド に 接続 情報 が 記 
述 さ れ て いま す 。 


レコ ー ド に !P を する 


入力 され た 資格 情報 を 使用 し て ス Record Title TPs 

キャ ン エ ンジ ン が ロ グイ ン す る 必要 Login Credentials Add IPs to your InformixDB record 

が ある InformixDB デ ( ダ ペデ スズ Target Configuration Enter or Select IPs/Ranges: Select IPsRanges | SelectAsset Group | Remove | Clear 
の IP ア ドレ ス を 入力 し ます 。 192.168.0.87-192.168.0.92, 192.168.0.200| 


Unix Configuration 


「Select IPs/Ranges」 リ ンク また は 
「Select Asset Group」 リ ンク を 利用 
し て TP/ 範 囲 を 選択 する こと も で き 


iPs > 


Comments 


ます 。 
cm EE 
最終 更新 日 : 2020 年 6 月 19 日 
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